省用户413省分单点登陆系统邮件公文处理经营分析其它系统CDSSO2省分LDAPCDSSO集中应用系统单点登陆系统4省分门户系统集中应用集中应用集中应用全国LDAP 图6-2 集中应用系统接入各门户系统的单点登录示意图
用户在省分门户系统中访问集中应用系统的步骤如下:
1. 用户通过访问本省的“省分单点登陆系统”访问省分门户系统,实现省分门户系统
内的单点登陆。
2. 通过省分门户系统中的特殊连接访问集中应用系统,当用户请求在省分门户和集中
应用之间转发时,用户身份的确认也是通过两个单点登陆平台的CDSSO模块来实现的。
3. 当用户信息从“省分单点登陆系统”的CDSSO模块传递到“集中应用系统单点登陆
系统”的CDSSO模块后,“集中应用系统单点登陆系统”的CDSSO模块会根据用户的相关信息来映射到本地的用户账号。
4. 在映射到本地用户账号后,也完成了到集中应用系统的单点登陆的功能。这种单点
登陆功能的实现和门户系统内的单点登陆功能的实现是一样的。
17
6.3 跨门户访问的单点登录
总部用户13总部单点登陆系统邮件公文处理经营分析其他系统CDSSO2总部LDAP4CDSSO邮件公文处理经营分析其他系统省分单点登陆系统省分门户系统 总部门户系统省分LDAP 图6-3 跨门户访问的单点登录示意图
跨门户访问的步骤如图6-3所示:
1. 用户登陆到总部单点登陆系统,可以访问总部门户系统中的所有资源。
2. 通过门户系统中的特殊连接访问省分单点登陆系统,当用户请求在总部门户和省分
门户系统之间转发时,用户身份的确认也是通过两个单点登陆平台的CDSSO模块来实现的。
3. 当用户信息从总部单点登陆系统的CDSSO模块传递到省分单点登陆系统的CDSSO模
块后,省分单点登陆系统的CDSSO模块会根据用户的相关信息来映射到本地的用户账号。
4. 在映射到本地用户账号后,也完成了到省分门户系统的单点登陆的功能。这种单点
登陆功能的实现和门户系统内的单点登陆功能的实现是一样的。
18
6.4 CDSSO功能实现的技术细节
图6-4标准环境中用户认证的工作模式示意图
标准环境中用户认证的工作模式下,当接收到第一个用户请求时,WebSEAL意识到它并没有关于这个用户的信息,因此发出认证挑战。用户响应挑战后并且验证了用户信息,WebSEAL为该用户建立了身份凭证。这个凭证和用户对话期间的某些保持不变的特性相联系,在这个例子里是SSL的对话ID。当接收到该用户的下一个请求时,WebSEAL从其长期特性中识别出该用户,并且采用代表该用户的身份凭证,这样该用户就无需再次进行身份认证了。
图6-5 跨域环境中用户认证过程的第一个阶段工作模式示意图
跨域环境中必须找到WebSEAL服务器能够将一个用户的身份信息传递给另一个安全领域的方法。而且必须通过安全的方式这样保证这些信息无法被截取,无法被别有用心的人用来在新的安全领域中冒充该用户。
19
在不同安全域中的这种身份信息转移时两个阶段的过程。首先,用户在本地领域的网站上点击一个特殊的链接来触发对本地WebSEAL服务器的跨域单点登录请求。这一触发请求的格式如下:
https://abc.com/pkmscdsso?https://def.com/
作为对这一请求的回应,本地WebSEAL服务器创建并且加密一个包含本地用户信息的token。这个token和一个HTTP重定向请求一起发给用户浏览器。
https://def.com/?PD-ID=
用户浏览器接收到重定向请求后,它转向新的安全领域的WebS